Saltear al contenido principal
DESDE LA AUTORIDAD DE PROTECCIÓN DE DATOS DE REPÚBLICA CHECA: Pruebas Obligatorias Para Los Empleados

DESDE LA AUTORIDAD DE PROTECCIÓN DE DATOS DE REPÚBLICA CHECA: pruebas obligatorias para los empleados

This post is also available in: Italiano Français

La Oficina de Protección de Datos Personales ha extendido su recomendación del 5 de marzo de 2021 la actual obligación de testar los empleados para la presencia del virus SARS-CoV-2. Se ha ordenado a los empresarios nuevas medidas extraordinarias del Ministerio de la Salud (MZDR 47828 / 2020-16 / MIN / KAN, MZDR 9364 / 2021-1 / MIN / KAN, MZDR 47828 / 2020-22 / MIN / KAN, MZDR 47828 / 2020-26 / MIN / KAN, MZDR 47828 / 2020-25 / MIN / KAN). Los ministerios de sanidad, industria y del comercio han sido informados de la preparación de las recomendaciones.

En cumplir la obligación de testar los empleados para la presencia del virus SARS-CoV.2, los empresarios procesan los datos personales para cumplir la obligación legal aplicable con arreglo al Reglamento General de Protección de Datos (GDPR) (“el Reglamento General”) y en conformidad con las normas legales pertinentes (Ley n. 258/2000 Sb. Sobre la protección de la salud pública, y la Ley n. 94/2021 Sb. Sobre las medidas de emergencia en caso de epidemia de COVID-19) y medidas resultantes desde esto.

Se queda un principio irrenunciable que el empleado es también el lado débil de la relación de trabajo durante la prueba, no tiene otra elección que tolerar la medida, y en las medidas prácticas tiene que ser tratado en este sentido de manera más premurosa y con cuidado, con respeto no solo a la protección de datos personales, sino también a su privacidad y dignidad humana.

Tenemos que recordar que las obligaciones en relación a la protección de datos no están impuestos a los empresarios desde la Oficina de Protección de Datos Personales (lo siguiente “Oficina”), ellos derivan desde las normas de ley aquí mencionadas. La obligación de conservar los registros que incluyen una categoría especial de datos personales, es decir los datos sobre los resultados de las pruebas para la presencia del virus SARS-CoV-2, es un área completamente nueva del tratamiento de datos personales para muchos empresarios con los cuales no se tiene previa experiencia.

Donde las autoridades competentes piden al empresario registrar estas informaciones, parece práctico en este contexto basar las siguientes recomendaciones no vinculantes sobre determinadas medidas y procedimientos específicos que pueden ayudar a los empresarios de trabajo a cumplir sus obligaciones con arreglo al Reglamento General.

La determinación del ámbito específico de datos personales registrados o del periodo de conservación no es competencia de la Oficina de Protección de Datos Personales. Cada empresario tiene que adaptar el tratamiento de datos personales en el récord de las pruebas bajo condiciones específicas y ámbito de sus actividades, pero las siguientes informaciones tendrían que facilitar de manera significativa todas las obligaciones de los empresarios de conservar las registraciones de las pruebas SARS-CoV-2 realizadas con medidas de emergencia.

Existen dos maneras para realizar pruebas. Se consideran empleados también otras personas que trabajan en los lugares de trabajo del empresario (empleados asignados temporáneamente desde la agencia de empleo y otras personas que realizan un trabajo o actividades similares conjuntas a los empleados del empresario).

Pruebas efectuadas desde proveedores de servicios sanitarios, donde las pruebas se realizan y facturan como servicios médicos.

El tratamiento de datos personales se realiza en ámbito de procedimientos estándares disciplinas desde normas específicas. En estos casos, desde el punto de partida del empresario, es necesario recibir un certificado de la prueba dejado desde el médico. El empresario y el proveedor de asistencia sanitaria, que verifica SARS-CoV-2 en los empleados para los empresarios, están en la posición de dos administradores separados.

El proveedor de servicios sanitarios que realiza una prueba trata datos personales fuera del posible control del empresario. Hay, por ejemplo, la transferencia de datos al Sistema Informático de las Enfermedades Infectivas y la creación de un historial médico, que tiene, entre otras cosas, un ámbito específico de acceso y periodo de conservación. Tiene que haber un acuerdo contractual entre empresario y proveedor de asistencia sanitaria.

Pruebas realizadas desde el empresario (auto recogida de empleados utilizando pruebas proporcionadas al empresario, pruebas realizadas desde empleados designados, pruebas de entidad externas a los operadores sanitarios, etc.)

Donde las pruebas tienen que ser pagadas desde los Fondos de Prevención de Compañías de Seguros Sanitaria Individual.

En este caso, en el tratamiento de datos personales, el empresario se convierte en el responsable del tratamiento de datos personales con todas las obligaciones que derivan desde el Reglamento General. Debido al interés público en el campo de la salud pública según el Reglamento General, también durante las pruebas de los empleados se tratan categorías especiales de datos personales sobre el estado de salud.

Las registraciones de las pruebas realizadas sobre cada empleado pueden ser utilizadas sólo en conexión directa con el cumplimento de las obligaciones impuestos desde el procedimiento de emergencia.

Los propios récord de las pruebas de los empleados pueden solo incluir los datos identificativos de base del empleado utilizados para identificar el empleado mismo (nombre, apellido, fecha de nacimiento, que puede ser sustituido desde un identificativo asignado a los empleados desde el empresario), datos sobre la hora de la prueba (para la mayor parte de los empresarios es suficiente la fecha de la prueba, la hora exacta puede ser registrada en operaciones específicas) y el resultado de la prueba para la presencia del virus SARS-CoV-2, dentro de los requisitos justificados desde las autoridades competentes.

La misma limitación del ámbito sólo a los datos personales necesarios se aplica también a todos los documentos que demuestran una exención desde la prueba obligatoria del empleado dado (datos de identificación del empleado, motivación de exención desde la prueba como infección de COVID-19 dentro de 90 días antes de la prueba, vacunación).

En caso en el cual el empresario negocia una relación contractual con un proveedor de asistencia sanitaria para realizar pruebas de empleados para el empresario, o las compañías de seguros toman fondos directamente desde el empresario para pagar las pruebas obligatorias de los empleados, otros datos necesarios para identificar el empleado pueden ser tratados en la medida legítimamente solicitada desde la compañía de seguros sanitaria.

Datos transmitidos entre el empresario y el proveedor de servicios sanitarios o compañías de seguros pueden ser dejado sobre el número de los asegurados y sobre la compañía de seguro sanitaria del empleado. Los proveedores de servicios y las compañías de seguros pueden tratar estos datos en conformidad con las normas legales especiales en el sector de la provisión de servicios y seguros sanitarios.

Es importante recordar que los operadores sanitarios o las compañías de seguros sanitarias pueden registrar más de una persona con el mismo nombre y fecha de nacimiento, es necesario prevenir la posible confusión de las personas y posiblemente los resultados de su examen para la presencia de SARS-CoV-2.

En el procedimiento de transferencia de datos entre entidades, es necesario poner el acento sobre su seguridad para impedir su divulgación o pérdida no autorizada.

Es responsabilidad de la compañía de seguros sanitarios determinar metódicamente o de otra manera para los empresarios la gama de datos necesarios para este procedimiento. Es mismo es para la determinación de la portada de los datos personales conservados para fines de control ex post (es decir desde una autoridad pública etc.).

El periodo de conservación de las registraciones de las pruebas no ha sido especificado en la provisión de emergencia, pero respeto a las obligaciones reguladas desde la legislación arriba mencionada, el periodo máximo para la conservación de datos personales en los registros de las pruebas resulta ser de tres años desde el momento de su adquisición.

Este periodo se conecta a las necesidades de probar el respeto de las obligaciones impuestas a las autoridades sanitarias públicas, que tienen el control del respeto de la medida impuesta desde el administrador, a menos que no se alerta que un periodo más corto es suficiente para estos fines.

A los empresarios de trabajo, según las disposiciones del artículo 10, apartado 2, letra c) de la Ley sobre las medidas extraordinarias en caso de enfermedad de COVID-19, las autoridades sanitarias públicas pueden someter los empleados a pruebas y se no respetan el orden pueden ser sometidos al pago de una sanción de 500.000 CZK. Por esto, se aplican las disposiciones del artículo 30, letra b) de la Ley n. 250/2016 Sb. Sobre las responsabilidades por crimen y procedimientos sobre ellos, que establece el periodo de limitación para el crimen de 3 años.

El mismo se realiza para la memorización de datos personales sobre las pruebas de los empleados pagados desde el empresario, utilizados en futuro para programas de seguros sanitarios aconsejados desde el gobierno. También en este caso, el periodo de conservación de datos personales dentro de los límites de ley tiene que ser especificado desde las autoridades competentes (para fines de control, etc.) ya diferenciadas en relación a las diferentes finalidades (ejemplo respeto de las orientaciones diferentes de información o control).

No es necesario conservar los datos personales de los empleados para las registraciones de las pruebas conservadas para fines de conformidad con otras leyes leales, por ejemplo, para razones de posible deducibilidad fiscal.

En relación al tratamiento de datos personales, la Oficina llama la atención sobre las obligaciones del responsable del tratamiento que derivan directamente desde el Reglamento General, en particular:

  1.       Proporcionar a los interesados informaciones específicas sobre el tratamiento de datos personales relativo a las pruebas (finalidades y razones legales del tratamiento, ámbito de datos tratados, periodo de conservación, etc.) véase el anexo 1 para un campeón de informaciones sobre el trabajo
  2.       Conservar los registros de las actividades de tratamiento con arreglo al artículo 30 del Reglamento General. Véase el anexo 2.
  3.       Garantizar que los datos personales sean tratados con adecuada protección de la privacidad; cada empresario tiene, teniendo en cuenta las propias habilidades, adoptar medidas técnicas y organizativas para proteger adecuadamente los datos personales desde posibles pérdidas, divulgaciones no autorizadas o cambios no autorizados. La evaluación completa del riesgo y la selección de las medidas dependen desde el administrador, su sección y aplicación tienen que ser consideradas desde el administrador en relación a los parámetros de elaboración específicos como los sitios, las TIC utilizadas, etc. Parte de la gestión general del riesgo del administrador consiste en realizar evaluaciones de impacto (DPIA): un análisis para establecer si el tratamiento está sujeto a una evaluación de impacto concluye que esto es necesario. Véase el anexo 3.

A segunda del adicional desarrollo de la situación en la aplicación de las medidas y de las conciencias prácticas adquiridas, la Oficina adoptará adicionalmente la propia declaración.

Los parámetros del tratamiento de datos personales dependen desde la específica portada de las obligaciones impuestas a los empresarios en los límites del ordenamiento jurídico, que pueden ser modificados o especificados desde los órganos de la administración central del Estado y desde las compañías de seguros sanitarios.

En este sentido, la Oficina no tiene (no tiene la competencia para imponer) la obligación para los empresarios de tratar datos personales en medida específica o para un cierto periodo de tiempo, contestar solo a una situación en la cual un cierto tipo de obligación es (será) impuesto a los empresarios.

Se puede admitir que la fase inicial de cumplimiento de las obligaciones previstas desde las dichas medidas de emergencia pueda ser condicionada desde una falta de claridad desde en punto de vista de los empresarios, mientras los relativos procedimientos metodológicos están en fase de definición y actualización por parte de las autoridades competentes.

También en esta situación, la Oficina no puede renunciar al ejercicio de sus poderes de supervisión; todavía, es lícito atenderse que las actividades de control de la Oficina en este contexto se centrarán sobre las modalidades y sobre la portada sucesivas de la corrección de eventuales procedimientos defectuosos para aumentar gradualmente la conciencia.

Los documentos del documento anexo representan recomendaciones no vinculantes y reflejan la actual gama de informaciones disponibles.

Contornos:

  1.       Política sobre el tratamiento de datos personales de los empleados
  2.       Registros de actividad de elaboración
  3.       Análisis de la necesidad de realizar la DPIA (no es necesario realizar la DPIA)

Informaciones sobre el tratamiento de datos personales de los empleados

1. Informace o zpracování osobních údajů zaměstnanců

Registros de las actividades de elaboración

2. Záznamy o činnostech zpracování

Las obligaciones de los administradores de realizar DPIA

3. K povinnostem správců provádět DPIA

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI REPUBBLICA CECA

Volver arriba